我有一个根域(https://kernl.us),该域名通过 Let's Encrypt SSL 证书进行保护。这可以正常工作,但是当我尝试转到新的子域 (http://status.kernl.us) Chrome 将我重定向到 HTTPS。子域名是指向 Pingdom 状态页面的 CNAME 记录。我无法控制它的 HTTP/S 状态。
如果我打开 Firefox,则不会出现 HTTPS 重定向。我怀疑这与 Let's Encrypt SSL 证书和 Chrome 中的某些存储行为有关,但我不知道从哪里开始查找。
我找到了这个:https://community.letsencrypt.org/t/every-subdomain-is-redirecting-to-https-even-non-existent-ones/18095这似乎是我的问题,但我的 Nginx 配置没有设置任何HSTS设置。
有任何想法吗?
Nginx 配置
server {
listen 443;
server_name kernl.us;
ssl on;
ssl_certificate /etc/letsencrypt/live/kernl.us/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/kernl.us/privkey.pem; # managed by Certbot
ssl_session_timeout 30m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!DH;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:30m;
location /static/ {
autoindex on;
expires 7d;
gzip on;
gzip_vary on;
gzip_min_length 256;
gzip_proxied expired no-cache no-store private auth;
gzip_types text/plain text/css text/xml text/javascript application/x-javascript application/xml;
gzip_disable "MSIE [1-6]\.";
root /var/www/kernl/kernl/public/;
}
location / {
proxy_pass http://backend;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
add_header X-Nginx-Server 'nginx1';
add_header X-Upstream $upstream_addr;
}
}
答案1
如果你看这里:https://hstspreload.org/?domain=kernl.us或者这里:https://www.ssllabs.com/ssltest/analyze.html?d=kernl.us&hideResults=on您可以看到 HATS 已预加载(即硬编码)到 Chrome 代码中。
通常情况下,您需要发布 HSTS 标头才能实现这一点,他们可能会将其从代码中删除,因为此域不再执行此操作。您这样做了吗?或者您是此域的前所有者或管理员吗?
因此,我担心从现在起,这个域名和子域名基本上都只能使用 HTTPS。至少在 Chrome 删除此代码并且所有用户都停止使用带有该代码的任何版本的 Chrome 之前。